Nel panorama della sicurezza informatica, un nuovo allarme riguarda una campagna malevola che prende di mira l'ecosistema Go. I ricercatori hanno scoperto che alcuni pacchetti Go, attraverso tecniche di typosquatting, stanno diffondendo malware su sistemi Linux e macOS. L'attore malevolo ha pubblicato almeno sette pacchetti che imitano librerie Go ampiamente utilizzate. Tra questi, uno in particolare sembra mirare agli sviluppatori del settore finanziario.

I pacchetti malevoli condividono tecniche di occultamento simili, suggerendo un'azione coordinata da parte di un attore in grado di adattarsi rapidamente. Sebbene siano ancora disponibili nel repository ufficiale, la maggior parte dei loro corrispondenti repository GitHub non è più accessibile. I pacchetti sono progettati per ottenere l'esecuzione di codice remoto, eseguendo comandi shell offuscati per scaricare ed eseguire script ospitati su un server remoto. Questo script non viene recuperato immediatamente, ma solo dopo un'ora, probabilmente per evitare il rilevamento.

L'obiettivo finale dell'attacco è installare ed eseguire un file eseguibile capace di rubare dati o credenziali. Uno degli eseguibili, denominato 'f0eee999', funge da loader secondario di malware, progettato per stabilire la persistenza e operare silenziosamente in background, attendendo ulteriori comandi da un server di comando e controllo.

Questa scoperta segue di un mese un'altra rivelazione di un attacco alla catena di fornitura software che coinvolgeva un pacchetto Go malevolo capace di consentire l'accesso remoto ai sistemi infetti. La ripetuta utilizzazione di nomi file identici e tecniche di offuscamento basate su array evidenzia ulteriormente l'esistenza di un avversario coordinato e adattabile.

L'infrastruttura dell'attacco è progettata per durare nel tempo, permettendo all'attore malevolo di cambiare facilmente direzione nel caso in cui un dominio o un repository venga bloccato o rimosso. Questo solleva preoccupazioni significative per la sicurezza degli sviluppatori e delle organizzazioni che utilizzano pacchetti Go, evidenziando l'importanza di un monitoraggio costante e di controlli di sicurezza rigorosi.